|
以下的文章主要向大家講述的是黑客進入服務(wù)器隱藏自己的實際操作方法����,以下的這些隱藏方案是本人在實際操作中自我總結(jié)出來的����,具體看情況定了。 那么一般進入一臺服務(wù)器后隱藏自己的手段有:
本人喜歡東躲西藏����,所以總結(jié)出了一些隱藏的方案�����,具體看情況定了��。
那么一般進入一臺服務(wù)器后隱藏自己的手段有:
1����、superdoor克隆��,但是有bug�����。榕哥的ca克隆�,要依賴ipc,也不是很爽���。
2��、創(chuàng)建count$這樣的隱藏帳號��,netuser看不到���,但是在“管理->用戶”里可以看到�,而且在“我的電腦->屬性->用戶配置文件”里顯示未知帳號���,而且在document and setting里��,會有count$的文件夾���,并不是特別好,我在3臺左右機子上作了結(jié)果都被kill了����。
3、寫一個guest.vbs啟動時創(chuàng)建一個帳號或者激活guest用戶或者tsinternetuser用戶����,在注冊表里的winlogon里導(dǎo)入鍵值(事先做好)�,讓他開機自運行g(shù)uest.vbs,這樣就創(chuàng)建了一個幽靈帳號���。
或者導(dǎo)入在[HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor]
"AutoRun"="C:\\Program Files\\guest.vbs"
這樣是關(guān)聯(lián)到cmd��,只要運行就創(chuàng)建�����。
4��、像冰河那樣關(guān)聯(lián)到txt�����、exe����,運行txt就運行我們的程序。
5�、在組策略里配置自運行項。
6�����、設(shè)置文件關(guān)聯(lián)���,重要運行記事本或者什么就激活vbs���。
7、種植hackdefender�����、hack'sdoor、winshell��、武漢男生之類的后門���,但是容易被查殺�����。如果沒有改造幾乎沒有效果�����,如果不被殺�����,那就……嘿嘿!
8、夾雜文件����,把經(jīng)常用到的文件替換成rar自解壓文件。既包含原exe文件�����,又運行自己的程序(就是winrar做的不被查殺的捆綁),運行后就重復(fù)3�����,4���,5的步驟�����,隨便你了����。
9����、尋尋覓覓之間,發(fā)現(xiàn)hideadmin這個玩意好不錯�����,要求有administrator權(quán)限���,隱藏以$結(jié)尾的用戶����,帥呆了!命令行,管理界面��,用戶配置文件里都找不到他的身影���,一個字��,強!強到我搞了好半天都不知道怎么去除了�,只有讓他呆著吧!接著教主也有一個工具�����,有異曲同工之妙���。
10�����、替換服務(wù),將telnet或者termsvc替換成別的服務(wù)或者建一個新的����。
11�、手工在注冊表中克隆隱藏賬號��,網(wǎng)上流傳的一個看似很爽的方法���,但經(jīng)本人的2000 server測試也許是不在域中的原因���,根本不存在domains或者account這個鍵值,所以也就無從找起了�����。
但還是詳述一下:
Windows 2000和Windows NT里�,默認管理員帳號的SID是固定的500(0x1f4),那么我們可以用機器里已經(jīng)存在的一個帳號將SID為500的帳號進行克隆���,在這里我們選擇的帳號是IUSR_MachineName (為了加強隱蔽性)��。
在cmd下�����,
regedit /e admin.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
將SID為500的管理員帳號的相關(guān)信息導(dǎo)出�,然后編輯admin.reg文件,將admin.reg文件的第三行
[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4]
最后的’1F4’修改為IUSR_MachineName的SID(大部分的機器該用戶的SID都為0x3E9��,如果機器在最初安裝的時候沒有安裝IIS�,而自己創(chuàng)建了帳號后再安裝IIS就有可能不是這個值),將Root.reg文件中的’1F4’修改為’3E9’后執(zhí)行然后另外一個是你需要修改那個賬號的值�����。
regedit /e iusr.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000003E9
將iusr.reg文件中“'V'=hex:0”開始一直到iusr.reg文件結(jié)束部分復(fù)制下來��,然后替換掉adam.reg中同樣位置的部分��。最后使用 regedit /s adam.reg 導(dǎo)入該Reg文件��,然后運行 net user IUSR_MachineName password 修改IUSR_MachineName的密碼����。ok,大功告成!
現(xiàn)在IUSR_MachineName賬號擁有了管理員的權(quán)限���,但是你使用net.exe和管理工具中的用戶管理都將看不到任何痕跡�,即使你去察看所屬于的組和用戶�����,都和修改前沒有任何區(qū)別。
以上的相關(guān)內(nèi)容就是對黑客進入服務(wù)器隱藏自己的方法的介紹���,望你能有所收獲。
本文出自:億恩科技【www.allwellnessguide.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
